相信经常与PDF打交道的人都不会对福昕感到陌生,一家在国内起家国外走红的国产厂商,该公司旗下的PDF阅读器和PDF编辑器在全球拥有6.5亿用户。
本周二,福昕发布了PDF阅读器和编辑器的安全更新,以解决包括远程代码执行在内的多个漏洞。
这些漏洞是Cisco Talos的研究人员发现的,编号为CVE-2021-21831、CVE-2021-21870 和CVE-2021-21893,CVSS严重性评分达到了8.8。
这些漏洞都是福昕PDF应用程序的JavaScript引擎中的释放后重用漏洞。应用程序在处理某些JavaScript代码或注释对象时,存在暴露于远程代码执行漏洞攻击的风险。
攻击者可以利用此漏洞制作恶意的PDF文件,诱骗目标打开,从而执行任意代码。根据Cisco Talos研究人员的说法,如果受害者启用了福昕的浏览器插件,该漏洞也可以通过恶意网站进行利用。
此外,福昕也解决了应用程序存在的一些其他问题,如:
未能正确处理循环条件,由无限循环导致的堆栈溢出问题。该问题导致了应用程序在遍历PDF文件的书签节点时存在暴露于释放后重用远程代码执行漏洞攻击和崩溃的风险。
使用递归解析XML节点时,递归级别超过最大递归深度的问题。该问题导致应用程序在使用太多嵌入式节点分析XML数据时存在暴露于堆栈溢出漏洞攻击和崩溃的风险。
在执行submitForm函数时,应用程序存在任意文件写入漏洞的问题。攻击者可以利用该漏洞在本地系统创建任意文件并注入不受控制的内容。
受漏洞影响的Windows平台的福昕PDF阅读器为11.0.0.0.49893 及以前的版本,PDF编辑器为11.0.0.0.49893、 10.1.4.37651 及以前的版本。
Mac平台的该应用程序也受到了其中一些漏洞的影响。两个平台的应用程序都可采用以下方式更新版本以免受漏洞影响:
1、从福昕PDF阅读器或福昕PDF编辑器的”帮助”选项卡中,单击”检查更新”并更新到最新版本。
2、前往福昕官网下载应用程序的更新版本。